Administrador vê TODAS as unidades mapeadas

11

No meu entendimento de segurança, um administrador deve poder visualizar todas as conexões de e para um computador - assim como pode ver todos os processos / proprietário, conexões de rede / processo de propriedade. No entanto, o Windows 8 parece ter desativado isso.

Como administrador executando um elevado no Win Vista + quando você executa, net usevocê recupera todas as unidades mapeadas, listadas como indisponíveis. No Windows 8, o mesmo comando executado em um prompt elevado retorna "Não há entradas na lista". O comportamento é idêntico para o PowerShell Get-WmiObject Win32_LogonSessionMappedDisk.

Uma solução alternativa para mapeamentos persistentes é executar Get-ChildItem Registry::HKU*\Network*. Isso não inclui mapeamentos temporários (no meu exemplo em particular, ele foi criado através do explorer em uma conta de administrador e eu não selecionei "Reconectar ao entrar")

Existe uma maneira direta / simples para o administrador exibir as conexões de qualquer usuário (com exceção de um script executado em cada contexto de usuário)? Li alguns programas que não conseguem acessar locais de rede quando o UAC está ativado, mas acho que isso não se aplica.

Vi essa resposta, mas ela ainda não trata de unidades não persistentes. Como posso saber quais unidades de rede os usuários mapearam?

command-line-interface windows-8 uac mappeddrive forensics kskid19
fonte
O Cmdlet do Powershell Get-SmbMappingajuda?
Ryan Ries
Não, mesmo resultado. Também testei no Win7 ontem à noite (versão errada do powershell) e fornece os mesmos resultados quando você recebe um prompt elevado por meio de um usuário padrão.
kskid19
Um comando com uma saída mais detalhada é wmic netuse. É provável que você queira gravar isso em um arquivo e abri-lo como valores separados por tabulação.
Jason
Do ponto de vista da segurança, uma lista de mapeamentos é inútil. Afinal, pode-se acessar esses compartilhamentos diretamente pelo caminho UNC, sem mapeá-los.
RomanSt

Respostas:

4

No Windows 7, se o UAC estiver ativado e você abrir o Prompt de Comando com "Executar como Administrador", também não verá as unidades mapeadas. No Windows 8, você notará que, mesmo quando o UAC está desativado, você ainda precisa "Executar como administrador".

A razão pela qual o administrador não vê as unidades mapeadas é explicada no artigo da Technet que você vinculou . Em poucas palavras, você está executando apenas um token de administrador e as unidades mapeadas são fornecidas ao token de usuário padrão. O Windows 7 com o UAC desativado executa o prompt de comando com os dois tokens.

A resolução nesse artigo também funciona com o Windows 8. Navegue para HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, crie um valor DWORD de EnableLinkedConnections , defina-o como 1 e reinicie.

Prompt de comando do administrador

Jason
fonte
Isso aborda a exibição das unidades se você for o administrador do sistema e o usuário ao mesmo tempo. Que tal exibir conexões não persistentes de qualquer usuário em um sistema / rede? (É por isso que eu perguntei aqui em vez de superusuário)
kskid19